Network on Sang's Blog

Configuring Multi-NIC Routing in Windows VMs

Fri, 09 May 2025 19:17:19 +0800

1. 背景

Windows 创建的虚拟机只能通过 NAT 上网（桥接需要过认证），但需要桥接到内网供外部访问。

此场景使用的两张网卡会同时被设置为默认网关，出口流量有概率从桥接网卡出口导致无法访问。

2. 路由表基础操作

2.1 查看路由策略

1
2
3
4
5


[root@localhost ~]# ip rule

0: from all lookup local
32766: from all lookup main
32767: from all lookup default

2.2 查看路由表

1
2
3
4
5


[root@localhost ~]# ip route list

default via 172.21.208.1 dev eth0 proto dhcp metric 101
10.60.20.0/24 dev eth1 proto kernel scope link src 10.60.20.12 metric 100
172.21.208.0/20 dev eth0 proto kernel scope link src 172.21.219.71 metric 101

2.3 新增默认路由

1

[root@localhost ~]# ip route add default via 10.60.20.254 dev eth1

2.4 删除默认路由

1

[root@localhost ~]# ip route del default via 10.60.20.254 dev eth1

3. 多网口出口配置

一般配置多网卡时，两张网卡都会被配置为默认路由，使用 ip route list 查看能看到类似如下配置

1
2
3
4
5
6


[root@localhost ~]# ip route list

default via 10.60.20.254 dev eth1 proto dhcp metric 100
default via 172.21.208.1 dev eth0 proto dhcp metric 101
10.60.20.0/24 dev eth1 proto kernel scope link src 10.60.20.12 metric 100
172.21.208.0/20 dev eth0 proto kernel scope link src 172.21.219.71 metric 101

对于 default via 10.60.20.254 dev eth1 proto dhcp metric 100

default 表示默认路由
via 10.60.20.254 表示数据包将发往 10.60.20.254 这个目标 IP 地址
dev eth1 指定数据包将从 eth1 接口发送
proto dhcp 表示该路由规则是通过 DHCP 协议动态分配的
metric 100 表示优先级度量值（越小优先级越高）

对于 10.60.20.0/24 dev eth1 proto kernel scope link src 10.60.20.12 metric 100

这是一个具体的子网路由规则，用于指定数据包如何到达 10.60.20.0/24 子网。
10.60.20.0/24 表示目标子网地址范围
dev eth1 指定数据包将从 eth1 接口发送
proto kernel 表示该路由规则由内核自动生成
scope link 表示这是一个本地链接，即目标 IP 地址与本机直接相连
src 10.60.20.12 表示源 IP 地址，即从 10.60.20.12 发送到目标子网
metric 100 表示优先级度量值（越小优先级越高）

如果不希望访问外网时通过 10.60.20.254 网关，只需将第一条路由删除即可，执行

1

[root@localhost ~]# ip route del default via 10.60.20.254 dev eth1

验证除了 10.60.20.0/24 的地址，都会走 eth0 网卡

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


[root@localhost ~]# ip route get 10.60.20.10
10.60.20.10 dev eth1 src 10.60.20.12
 cache

[root@localhost ~]# ip route get 1.1.1.1
1.1.1.1 via 172.21.208.1 dev eth0 src 172.21.219.71
 cache

[root@localhost ~]# ip route get 8.8.8.8
8.8.8.8 via 172.21.208.1 dev eth0 src 172.21.219.71
 cache

4. 保存设置

以上路由会在重启后被清理，应使用 ip route save 保存信息

1

sudo ip route save table main > /var/opt/route-main.rules

使用 ip route restore 恢复

1
2


sudo ip route flush table main
sudo ip route restore table main < /var/opt/route-main.rules

也可以将其写为 systemd 脚本，当网卡准备完成后执行

开启 IPv6 SLAAC 自动配置

Wed, 04 Dec 2024 10:43:07 +0800

1. sysctl 配置

在某些情况下，IPv6 并不会自动配置，需要手动开启 sysctl 选项

编辑 /etc/sysctl.conf 文件，并在末尾添加以下内容，输入 sysctl -p 立即生效配置

此选项将开启 IPv6 功能，通常情况下，只需要配置此选项即可开启 IPv6

1
2


net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0

此选项将允许数据包在 Interface 之间转发，当你的网络接口是使用桥接时，通常需要开启此选项

1
2


net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1

此选项将允许接收路由器通告，如果上面两个选项配置后仍然无法获取 IPv6 地址，可以尝试开启以下选项

1
2


net.ipv6.conf.all.accept_ra = 1
net.ipv6.conf.default.accept_ra = 1

此选项用于开启 SLAAC (Stateless Address Autoconfiguration)，一般默认是开着的

1
2


net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.default.autoconf = 1

2. 网络接口配置

编辑 /etc/network/interfaces

1

iface vmbr0 inet6 auto

当 inet6 配置为 auto 时将使用 SLAAC 自动配置

Iptables 本地回环接口容易造成误解的配置

Tue, 07 May 2024 11:11:00 +0800

使用 iptables -L 可能会看到类似如下的配置

1
2
3
4


Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

第二条规则看上去像是允许了任意来源和目标的流量，但实际验证的效果却是后续的防火墙规则仍然在工作。

这是因为，第二条规则实际上仅针对本地回环 (lo) 接口，当使用 iptables -L 查看时进行了省略，使用 iptables-save 可以得到完整的防火墙规则如下

1
2


-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT

Docker 端口映射防火墙规则配置

Tue, 07 May 2024 11:09:00 +0800

1. 背景

当 docker 使用端口映射时， docker daemon 会创建 DOCKER 链绕过 firewalld 建立 iptables 规则，可能使 firewall 规则失效。

可以通过修改 DOCKER-USER 链来管理 docker 的防火墙规则或禁用 firewalld 直接配置 iptables（不推荐）

1.1 停止 docker

不要在 Docker 运行时 Reload firewalld，否则会导致 Docker 链被删除

1

systemctl stop docker

1.2 清除并重建自定义规则链

1
2
3


firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER

1.3 允许 Docker 容器出站流量返回

使用 conntrack 模块匹配 RELATED, ESTABLISHED 两种状态的连接

1
2
3
4
5
6


# 允许出站流量返回，因为建立连接 ESTABLISHED 的数据包已经通过了防火墙的出站规则。
# 此规则优先级为 1
# 没有完全理解这个逻辑，但是加了这条容器内就可以联网了
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT \
 -m comment --comment 'Allow containers to connect to the outside world'

1.4 配置白名单

1
2
3
4


# 允许来自 IP 段的所有流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
 -s 10.60.22.0/24 -j ACCEPT \
 -m comment --comment 'Allow IP 10.60.22.0/24 to access'

1.5 配置默认阻止

1
2
3


# 阻止其他的流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 \
 -j REJECT -m comment --comment 'reject all other traffic to DOCKER-USER'

1.6 Reload 防火墙

1
2


firewall-cmd --reload
firewall-cmd --get-active-zones

1.7 重启 docker

1

systemctl start docker

使用 firewalld 配置白名单

Tue, 07 May 2024 11:09:00 +0800

1. 白名单配置方法

以仅信任来自 10.60.22.0/24, 10.60.23.0/24 ip 端的连接为例

1.1 配置信任来源

1
2
3


# 添加 IP 地址范围到 "trusted" 的区域
firewall-cmd --permanent --zone=trusted --add-source=10.60.22.0/24
firewall-cmd --permanent --zone=trusted --add-source=10.60.23.0/24

1.2 配置默认拒绝

1
2
3
4


# 将默认的防火墙区域设置为 "drop"
firewall-cmd --set-default-zone=drop
# 将网络接口 eth0 分配给 "drop" 区域
firewall-cmd --permanent --zone=drop --change-interface=eth0

1.3 Reload 防火墙

1
2


firewall-cmd --reload
firewall-cmd --get-active-zones

get-active-zones 应该会得到类似如下配置

1
2
3
4


drop
 interfaces: eth0
trusted
 sources: 10.60.22.0/24 10.60.23.0/24

搭建 SSH 隧道

Sat, 14 Mar 2020 14:53:28 +0800

1. 使用场景

机器代号	操作系统	机器位置	IP	账户名	ssh/sshd 端口
OuterNet	CentOS 7	公网	50.100.50.100	OuterUser	22
LocalNet	CentOs 7	内网(局域网)	10.200.100.10	LocalUser	22

想要通过公网上的机器 OuterNet 访问内网机器 LocalNet

并能够使用 OuterNet 机器的 10022 端口访问 LocalNet 机器的 22 端口

相当于

1

[OuterUser@OuterNet] $ ssh -p 10022 LocalUser@127.0.0.1

替代在内网时候

1

$ ssh LocalUser@10.200.100.10

1.1 建立简单的 ssh 反向隧道

在 LocalNet 机器上执行以下命令建立隧道

1

[LocalUser@LocalNet] $ ssh -p 22 -qngfNTR 10022:localhost:22 OuterUser@50.100.50.100

或（以下参数似乎比较稳定）¹

1

[root@LocalNet] $ ssh -fN -R :55555:localhost:22 50.100.50.100

在 OuterNet 上连接 LocalNet

1

[OuterUser@OuterNet] $ ssh -p 10022 LocalUser@127.0.0.1

1.2 维持隧道

安装 autossh

1

[LocalUser@LocalNet] $ sudo yum install autossh

内网建立隧道

1

[LocalUser@LocalNet] $ autossh -p 22 -M 7777 -NR 10022:localhost:22 OuterUser@50.100.50.100

在 OuterNet 上连接 LocalNet

1

[OuterUser@OuterNet] $ ssh -p 10022 LocalUser@127.0.0.1

1.3 监听 0.0.0.0

如果需要监听 0.0.0.0 需要在服务端，即公网机器上开启 GatewayPorts

在 /etc/ssh/sshd_config 中把 GatewayPorts 设为 yes

2. 参考

ssh 端口转发：ssh 隧道 ↩︎

使用 iptables 进行端口映射

Sat, 14 Mar 2020 14:53:28 +0800

1. 使用 iptables 进行端口映射¹²

1.1 第一步 : 打开端口映射功能 :

1.1.1 方法一 : (允许数据包转发)

1

sudo echo '1' > /proc/sys/net/ipv4/ip_forward

1.1.2 方法二 :

1

vim /etc/sysctl.conf

将 ;net.ipv4.ip_forward = 0 这一行的注视去掉 , 并将 0 改为 1

修改后的结果为 :

1

net.ipv4.ip_forward = 1

1.2 第二步 : 进行映射 :

DNAT

1

iptables -t nat -A PREROUTING -d 本机IP -p tcp --dport 本机端口 -j DNAT --to-destination 目标机IP:目标机端口

SNAT

1

iptables -t nat -A PREROUTING -d 本机IP -p tcp --dport 本机端口 -j SNAT --to-destination 目标机IP:目标机端口

Network on Sang's Blog

Configuring Multi-NIC Routing in Windows VMs

1. 背景

2. 路由表基础操作

2.1 查看路由策略

2.2 查看路由表

2.3 新增默认路由

2.4 删除默认路由

3. 多网口出口配置

4. 保存设置

开启 IPv6 SLAAC 自动配置

1. sysctl 配置

2. 网络接口配置

Iptables 本地回环接口容易造成误解的配置

Docker 端口映射防火墙规则配置

1. 背景

1.1 停止 docker

1.2 清除并重建自定义规则链

1.3 允许 Docker 容器出站流量返回

1.4 配置白名单

1.5 配置默认阻止

1.6 Reload 防火墙

1.7 重启 docker

使用 firewalld 配置白名单

1. 白名单配置方法

1.1 配置信任来源

1.2 配置默认拒绝

1.3 Reload 防火墙

搭建 SSH 隧道

1. 使用场景

1.1 建立简单的 ssh 反向隧道

1.2 维持隧道

1.3 监听 0.0.0.0

2. 参考

使用 iptables 进行端口映射

1. 使用 iptables 进行端口映射12

1.1 第一步 : 打开端口映射功能 :

1.1.1 方法一 : (允许数据包转发)

1.1.2 方法二 :

1.2 第二步 : 进行映射 :

2. 参考：

1. 使用 iptables 进行端口映射¹²